CERT-UA исследована кибератака группировки UAC-0063, осуществленная 08.07.2024 по отношению к одному из украинских научно-исследовательских учреждений с использованием вредоносных программ HATVIBE и CHERRYSPY.
Fancy Bear (APT28)
На этапе первичного поражения злоумышленник, имея доступ к учетной записи электронной почты сотрудника учреждения, осуществил отправку копии недавно отправленного письма десяткам адресатов (включая самого отправителя), заменив оригинальный документ-вложение другим документом, в который был встроен макрос.
В случае открытия DOCX-документа и активации макроса на ЭВМ будет создан и открыт еще один документ (DOC) с макросом, который, в свою очередь, обеспечит создание на ЭВМ закодированного HTA-файла вредоносной программы HATVIBE «RecordsService», а также, файла запланированной задачи «C:\Windows\System32\Tasks\vManage\StandaloneService», предназначенного для запуска последней.
Используя созданную техническую возможность скрытого удаленного управления ЭВМ, на компьютер в каталог «C:\ProgramData\Python» впоследствии загружен Python-интерпретатор и файл вредоносной программы CHERRYSPY, который, в отличие от предыдущей версии, обфускованной с помощью pyArmor, скомпилирован в .pyd (DLL) файл.
Активность, которая отслеживается по идентификатору UAC-0063, со средним уровнем уверенности ассоциируется с деятельностью группировки APT28 (UAC-0001). При этом, на Virustotal обнаружен DOCX-документ (MD5: 33c3e4599ad678133905e6c1589c12d2) с аналогичным макросом, который был загружен из Армении 16.07.2024, контент-приманка которого содержит (искаженный) текст, адресованный Управлению оборонной политики Министерства обороны Республики Армения от имени Управления международного военного сотрудничества Министерства обороны Кыргызской Республики.
Indicators of Compromise
IPv4
- 185.158.248.198
- 193.124.65.97
- 45.136.198.184
- 5.45.70.178
Domains
- enrollmentdm.com
- trust-certificate.net
URLs
- http://45.136.198.184/connect.php
- http://45.136.198.184/input.php
- http://45.136.198.184/output.php
- http://5.45.70.178/RemoteAssistanceSvc.hta
- http://trust-certificate.net/setup.php
- http://trust-certificate.net/tmp/379.zip
- https://enrollmentdm.com:443
MD5
- 197e86b76a41f154b64e092f7cc3b306
- 33c3e4599ad678133905e6c1589c12d2
- 34ced721349626ce81c11693b9243c19
- 7a2a8c002a5e22c6231885e1ccf82bd1
- 7f865b65a82dcb18385644e0fd894727
- 8159abd281783e0ae601afce3b7d23b1
- 81cdcda59c86f8aa636810e4a085d673
- 8e1b29046c7f5bd1ddd4f549e2555592
- d0c3b49e788600ff3967f784eb5de973
- d618720afd0ee49601f7933c414ffbb5
- d84043b72bdceb92b2d60c2725bd674f
SHA256
- 259619899c60aa46df4f83558606813c79927c141bbf4b21bbf07b21b40e7ac1
- 332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725
- 48a30083f115ca0d359afc175cf942367207a73fdda28778e2b264534cf21830
- 593ca6d639f7c3e99db768b318b765e7585496debfde553dc1df03f5894012e3
- 6c439e62fb404e9095392878ef32ffce18ce6155a1510f4005409243401e8caf
- 93322be0785556e627d2b09832c18e39c115e6a6fbff64b1e590e1ddcf8f6a43
- a171e9c413518750806ae094e32f15791d4193229cc598642760af536cf6551d
- bcdbe035001af9d2cc173e975fa0b13b133e613b7d9b6e90df86672f9057e19b
- e6daa00e095948acfc176d71c5bf667a0403e5259653ea5ac8950aee13180ae0
- f4ada2b858c84da8b53c08ce4579f8b5b5df25e0d0f17ee0b48e10c87c338d23
- f9baa77117f5a058461e859efc67c8ce1ac205d1536326e01a030ab22295af5b